Un grave ciberataque al sector financiero ha puesto de manifiesto los riesgos de depender de portales de gestión en la nube para servicios críticos. El proveedor estadounidense Marquis Software Solutions, que ofrece soluciones tecnológicas a bancos y cooperativas, fue víctima de una intrusión que derivó en un ataque de ransomware con impacto masivo.

Cómo se produjo la brecha y qué se expuso

A finales de enero de 2026, los atacantes explotaron una vulnerabilidad en el portal MySonicWall, una plataforma en la nube utilizada para almacenar y gestionar respaldos de configuraciones de firewalls. Desde este acceso no autorizado, pudieron descargar archivos de configuración altamente sensibles que contendían:

• Credenciales de acceso privilegiado.
• Reglas y mapas de filtrado de tráfico.
• Configuraciones de red que permiten entender la topología interna de las defensas.

Estos archivos son valiosos para un atacante porque facilitan eludir las protecciones perimetrales e introducirse más profundamente en las redes de las entidades afectadas.

Consecuencias para el sector financiero

La explotación de estos datos permitió a los atacantes:

• Desplegar ransomware en los sistemas de Marquis Software Solutions y sus clientes.
• Afectar a más de 700 bancos y cooperativas de crédito en Estados Unidos.
• Interrumpir servicios críticos como plataformas de análisis de datos, sistemas de cumplimiento normativo y gestión de información sensible.
• Elevar el riesgo de movimientos laterales dentro de redes internas comprometidas.
• Generar un potencial impacto regulatorio y reputacional para las instituciones afectadas.

Todo ello convierte a este incidente en uno de los más significativos de los últimos meses en cuanto a ciberataques en el sector financiero.

Por qué este ataque es especialmente preocupante

La brecha en MySonicWall no se limita a un simple acceso a datos; expone un problema más amplio:

1. Centralización de configuraciones sensibles: respaldos de firewalls y datos críticos se almacenaban en un servicio compartido, lo que amplió el alcance del impacto.
2. Credenciales con excesivos privilegios: incluso si estaban cifradas, la posesión de estas configuraciones puede permitir reenfocar el ataque o reutilizar credenciales en otros sistemas.
3. Riesgo de escalación y movimiento lateral: con acceso a configuraciones completas de dispositivos de red, los atacantes pueden evadir defensas y comprometer recursos internos críticos.

Recomendaciones para proteger el sector financiero

Ante la creciente frecuencia de ciberataques al sector financiero, los expertos recomiendan:

• Auditar las configuraciones de los servicios en la nube que gestionan respaldos o dispositivos críticos. Identificar qué información sensible se expone y por qué.
• Aplicar autenticación multifactor (MFA) y restringir el acceso administrativo solo a direcciones IP confiables.
• Rotar credenciales con regularidad y evitar reutilizar secretos entre servicios o dispositivos que podrían estar ligados a la misma plataforma.
• Monitorizar y auditar accesos continuamente, no solo cuando ocurre un incidente, para detectar patrones inusuales que podrían indicar intrusiones tempranas.

El ciberataque sector financiero derivado de una brecha en MySonicWall demuestra que las fallas de seguridad en plataformas de terceros pueden tener consecuencias en cadena, afectando servicios y datos críticos de cientos de instituciones. Este incidente subraya la necesidad de una estrategia de ciberseguridad proactiva que integre auditorías de accesos, gestión estricta de credenciales y protección continua de servicios en la nube.